24 Milliarden Datensätze sind eine gute Zahl für schlechte Schlagzeilen. Groß genug für Rekordrhetorik, ungenau genug für Panik und praktisch genug, damit jeder noch schnell „größter Leak aller Zeiten“ darüber schreiben kann.
Der wichtigere Punkt ist aber nicht die Zahl. Einzelne Credential-Leaks sind bereits gefährlich genug. Sie erlauben Account-Übernahmen, VPN-Zugriffe, SaaS-Missbrauch, Passwort-Reuse-Angriffe und gezielte Folgeoperationen. Und sie hören nicht auf. Während ein alter Bestand ausgewertet wird, entstehen schon die nächsten: durch Infostealer, kompromittierte Integrationen, schwache Remote-Access-Systeme oder schlecht verwaltete Identitätsketten.
Der aktuelle 24-Milliarden-Fall ist deshalb vor allem wegen der zweiten Stufe interessant: Nach den derzeit sichtbaren Berichten lag das Material nicht einfach als Dump herum, sondern in einem offenen Elasticsearch-Bestand von rund acht Terabyte. Also in einer Form, die auf Suchen, Filtern, Korrelation und Wiederverwertung ausgelegt ist. Aus gefährlichem Rohmaterial wird damit ein durchsuchbarer Arbeitsbestand. Und dieser Arbeitsbestand war offenbar selbst nicht brauchbar abgesichert.
Das ist die eigentliche Geschichte. Nicht „schon wieder viele Passwörter“, sondern: Credential-Material wird laufend neu erzeugt, anschließend zusammengeführt und verwertbar gemacht – und in diesem öffentlich gewordenen Fall war ausgerechnet diese Aggregationsschicht offen genug, um gefunden zu werden.